impacto de la ley sarbanes oxley en el sector empresarial . riesgos de tecnología
DESCRIPTION
Impacto de la Ley Sarbanes Oxley en el sector empresarial . Riesgos de Tecnología. Manuel Lopezlage A. Socio – Deloitte & Touche I Congreso de Contadores Javerianos Noviembre 8 de 2008. Agenda. Introducción – Sarbanes-Oxley. - PowerPoint PPT PresentationTRANSCRIPT
©2008 Deloitte and all related entities.
•Impacto de la Ley Sarbanes Oxley en el sector empresarial.
•Riesgos de Tecnología.
Manuel Lopezlage A.Socio – Deloitte & Touche
I Congreso de Contadores JaverianosNoviembre 8 de 2008
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Agenda
• Introducción – Ley Sarbanes Oxley
• Alcance de la ley, potencial impacto en Colombia
• Riesgos de Tecnología
Introducción – Sarbanes-Oxley
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Introducción-Sarbanes Oxley
EVOLUCION DEL CONTROL INTERNO
Comienzo de los años 80´sse incrementa el foco en el Control interno y el Cumplimiento
1985Reporte de la Comisión Nacional de Fraudes Financieros – Treadway Commission
1980
Década de los 70´sEscándalo e investigación del Caso “Watergate”
1977Ley de prácticas de anticorrupción en países extranjeros(EU.)
1970
1992Committee Of Sponsoring Organizations (COSO). Se publica el modelo de Control interno
Década de los 90´sSe acentúa el interés en el Control Interno, la gestión de riesgos y las responsabilidades corporativas.
1990 2000
2002Ley Sarbanes Oxley (Leyes de mercados de Capitales)
La SEC exige la constitución de comités de auditoría 2003
Creación del PCAOB (Public Company Accounting Oversight Board)
2005En Colombia con la Ley 964/05 se conforman Comités de Auditoría para compañías mercado público valores (vigiladas Superfinanciera))
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Shell (Ene 2004)• Error en el registro de reservas petroleras por más
de 3.9 billones de barriles equivalentes.
– Incriminación al Presidente, Contralor y Country Manager .
– Pérdida de valor en acciones.
Enron (2001)• Registro indebido de instrumentos financieros.
– Jefrey Skillings (CEO) cadena perpetua + U$80.
– Andrew Fastow (CFO) – 10 años + U$23.8
– Lea Fastow (Tesorera) – 10 años + U$23.8
Introducción – Sarbanes Oxley Escándalos corporativos
y la lista continúa…
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Título I Junta de vigilancia de contadores de compañías públicas.
Título II Independencia del Auditor
Título III Responsabilidad corporativa
Título IV Mejoras en las revelaciones financieras
Título V Análisis de conflictos de interés
Título VI Recursos y Autoridad de la Comisión
Título VII Estudios y Reportes
Título VIII Responsabilidad en fraudes corporativos
Título IX Refuerzo en castigos a delitos de cuello blanco
Título X Impuestos sobre ingresos corporativos
Título XI Fraude y Responsabilidad (autoridades)
Introducción – Sarbanes Oxley Títulos de la Ley
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Asigna al CEO (Presidente) y CFO (VP. Financiero) la responsabilidad por establecer, mantener, evaluar e informar (base trimestral y anual) que se han evaluado la efectividad de los controles de revelación, y han revelado a su Junta Directiva y Comité de Auditoría deficiencias significativas en controles y/o fraudes.S
ecci
ón
302
Sec
ció
n 9
06
Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero.
Exige al Auditor Externo emitir una opinión sobre el control interno sobre el reporte financiero
Sec
ció
n 4
04
El no cumplimiento impone multas y/o sanciones penales hasta por US$5 millones y 240 meses de prisión, en caso de existir conocimiento y dolo por parte de los ejecutivos.
Introducción – Sarbanes Oxley Algunas secciones clave
© Deloitte Touche Tohmatsu 2008. All rights reserved.
SEC PCAOB
Compañías
en la Bolsa
Firmas
Auditoras
Securities Exchange
Commission Public Company
Accounting Oversight Board
Registrados
Regulación
Aplicación
COSO
Recomendación
Committee of
Sponsoring
Organizations
Define estándares de auditoría, control de calidad y éticos y logra su cumplimiento(vigilancia y control)
Vigilancia
y control
Recomienda sobre control de calidad y estándares éticos
Recomendaciones sobre Control Interno
AICPAAmerican Institute
of CPAs
Miembros
Representa US Profesión contable
Registrados Define requerimientos de reporte y revisión
de revelaciones
Introducción – Sarbanes-Oxley Quiénes participan?
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Introducción – Sarbanes-Oxley Las Cuatro Bases de la Ley
Resalta la responsabilidad de la Entidad sobre los Reportes Financieros y el Control Interno
• Control Interno
• Control de Revelaciones
• Otras responsabilidades
Fortalecimiento de Gobierno Corporativo a través de la implementación de un Comité de Auditoría• Vigilancia
• Miembros del Comité de Auditoría independientes y calificados
• Responsabilidades del Comité de Auditoría
Instalación del Public Accounting Company Oversight Board (PCAOB)
• Misión del PCAOB
• Tareas del PCAOB
• Tareas de las firma de auditoría registradas
Nuevas reglas en el control de calidad de la auditoría y la independencia del auditor• Estándares de Control de Calidad de la
Auditoría
• Estándares de Auditoria en la Ley
• Prohibición de la prestación de ciertos servicios
La Perspectiva Corporativa sobre SOX La Perspectiva del Auditor sobre SOX
Inst
itu
cio
nes
Reg
las/
Res
po
nsa
bil
idad
es
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• El Informe COSO* sobre control interno tiene una importancia enorme básicamente por dos hechos:
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
es
Introducción – Sarbanes-Oxley Modelo COSO – Cinco componentes
COSO* Internal Control-Integrated Framework, Committee of Sponsoring Organizations (COSO) of the Treadway Commission
• Incorporó en una sola estructura conceptual los distintos enfoques existentes a nivel mundial y generó un consenso para solucionar las múltiples dificultades que originaban confusión entre la gente de negocios, los legisladores, los reguladores y otros.
• Actualizó la práctica del control interno, lo mismo que los procesos de diseño, implantación y evaluación.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Introducción – Sarbanes-Oxley Modelo COSO –
Cinco componentes
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
es
Ambiente de control
•Establece el tono de una organización para influenciar la conciencia de control de su gente.
•Incluye factores como integridad, ética, valores, competencia, autoridad, responsabilidad.
•Es el fundamento para los otros componentes de control.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
es
Evaluación de riesgos
Es la identificación y análisis de riesgos relevantes para la consecución de los objetivos como base para determinar cómo se deben administrar los riesgos.
Introducción – Sarbanes-Oxley Modelo COSO –
Cinco componentes
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
esActividades de control
•Políticas y procedimientos que ayudan a asegurar que las directivas administrativas se llevan a cabo.
•Incluyen un rango de actividades diversas como aprobaciones, verificaciones, conciliaciones, recomendaciones, seguridad de activos y segregación de funciones.
Introducción – Sarbanes-Oxley Modelo COSO –
Cinco componentes
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
es
Información y comunicación
•Representa el proceso por medio del cual se asegura que la información relevante es identificada y comunicada de manera adecuada y oportuna.
•Acceso a la información generada interna y externamente.
•Flujo de información que permita acciones de control efectivas desde instrucciones en responsabilidades hasta resumir hallazgos para manejar acciones.
Introducción – Sarbanes-Oxley Modelo COSO –
Cinco componentes
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Ope
racion
es
Repor
te
Fina
ncie
ros
Cum
plim
ient
o
Monitoreo
Información &Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Div
isió
nU
nid
ad
de N
eg
ocio
sEn
tid
ad
Leg
al
Pro
cesos
Acti
vid
ad
es
Monitoreo
•Es el proceso que evalúa la calidad del desarrollo del control interno en el tiempo, mediante una evaluación continua de los controles, tomando las acciones correctivas necesarias.
Introducción – Sarbanes-Oxley Modelo COSO –
Cinco componentes
Alcance y potencial impacto de la Ley.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
La ley SOX: Alcance e ImpactoEfecto en General
• Compañías SEC y sus subsidiarias Colombianas
• Gerencia (CEO y CFO)
• Juntas directivas y Comités de Auditoría
• Auditores
• Abogados
• Bancos de inversión / Analistas de valores
• Reguladores
• Inversionistas
• Público en general
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Nuevas responsabilidades para los comités de auditoria y la gerencia
• Nuevos requerimientos de revelación de información
• Define servicios del auditor no permitidos a clientes auditados
• Endurece penas por fraude corporativo
• Aumento significativo de autoridad y funciones de la SEC
• Creación del PCAOB con autoridad para inspeccionar, investigar y sancionar a las firmas de auditores
• Autoridad para establecer y adoptar normas de auditoria, ética, control de calidad e independencia
La ley SOX: Alcance e ImpactoEfecto en General
© Deloitte Touche Tohmatsu 2008. All rights reserved.
La ley SOX: Alcance e ImpactoEfecto en la alta Gerencia
• El CEO y CFO deben certificar en informes anuales y trimestrales (Como mínimo) que:
• Han revisado los informes y estados financieros
• No conocen de información falsa u omitida
• Los estados financieros representan razonablemente hechos económicos reales
• Tienen responsabilidad de establecer y mantener controles internos efectivos
• Han revelado a auditores y al comité de auditoría deficiencias de control interno y fraudes
• Han revelado cambios en el sistema de control interno
© Deloitte Touche Tohmatsu 2008. All rights reserved.
La ley SOX: Alcance e ImpactoEfecto en auditores
• Fortalecimiento del control de calidad del trabajo
• Siete años de retención de papeles de trabajo
• Auditoria sobre el sistema de control interno
• Revisión concurrente efectiva
• Las normas se extienden a firmas colombianas que tengan participación importante en la auditoria de Compañías que les aplique la Ley
• Relación directa de reporte con un fortalecido comité de auditoria
• Rotación de equipos de trabajo
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Conclusiones.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Conclusiones
• Responsabilidades en fraudes corporativos (estados financieros, activos).
• Cambio en los roles y responsabilidades de la Administración, de las Juntas Directivas, de los Comités de Auditoría y de los Auditores.
• Multas y sanciones penales para los administradores y los auditores.
• Mayor regulación por parte de las Entidades de Control.
• Mejoras en las revelaciones de información.
• Nuevas reglas en el control de calidad de la auditoría y la independencia del auditor.
• Mayor transparencia en la actuación de los administradores.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Riesgos de tecnología.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Riesgos de TecnologíaTendencias Actuales
• Se ha hecho indispensable el uso de la tecnología en todas las actividades del mundo actual.
• Las organizaciones requieren comprender la nueva tecnología y buscar el equilibrio entre sus necesidades, la capacidad de inversión y la administración de los riesgos que ésta le genera.
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Competencia global
Reestructuración de las organizaciones
Obtención de ventajas competitivas
Automatización de las funciones en las Organizaciones
Incorporación de herramientas de control más poderosas de tecnología informática (Hardware – Software)
Comprender la tecnología de controles y su naturaleza cambiante (Especialistas en sistemas – Auditores)
Riesgos de TecnologíaTendencias Actuales
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Los riesgos informáticos, tienen impacto en las organizaciones a todo nivel. Los principales riesgos de tecnología que pueden impactar a las Organizaciones son:
Riesgos de TecnologíaIntroducción a los Riesgos Informáticos
– Acceso– Disponibilidad– Integridad– Infraestructura– Información relevante
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Los riesgos informáticos pueden ocasionar:
Riesgos de TecnologíaIntroducción a los Riesgos Informáticos
– Suspensión de operaciones de la organización
– Pérdida de clientes (servicio deficiente)– Fraudes– Estados financieros que no reflejan la
realidad económica– Pérdidas– Información no confiable y oportuna para
toma de decisiones
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Riesgos de TecnologíaRiesgo en la Era de la Informática
Presión en las organizaciones
Cambios
Riesgos
Impacto
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Satisfacer las necesidades del negocio con soluciones de tecnología informática, efectivas en función de su costo
• Mejorar el desempeño de la organización y la administración de los costos
• Mejorar la flexibilidad y la capacidad de respuesta al cambio
• Lograr ventajas estratégicas
• Entregar una cantidad mayor de productos, de mejor calidad, con mayor rapidez y mejor precio
• Evitar riesgos significativos
Riesgos de TecnologíaPresión en las Organizaciones
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Implementar nuevos sistemas y redefinir los procesos del negocio
• Adoptar nuevas tecnologías
• Distribuir y consolidar en forma simultánea los procesos y los recursos de la tecnología informática
Riesgos de TecnologíaLas presiones conducen al cambio
© Deloitte Touche Tohmatsu 2008. All rights reserved.
Riesgos
Fraude, abuso, mal manejo Gastos excesivos Pérdida de utilidades y clientes Problemas de integridad
Oportunidades
Servicio al cliente Expansión del negocio Mayores utilidades Control de operaciones
Riesgos de TecnologíaLos cambios generan Oportunidades y Riesgos
© Deloitte Touche Tohmatsu 2008. All rights reserved.
• Necesidad de lograr ventajas competitivas en el negocio, a través de la tecnología.
Riesgos de TecnologíaImpacto General en la Organización
• Mayor dependencia de las organizaciones en la calidad y funcionamiento de sus sistemas de información.
• Nuevos riesgos de error o fraudes derivados de la aplicación de nuevas tecnologías de información.
• Necesidad de evaluar y controlar, con independencia, las grandes inversiones en el área de Tecnología Informática.
Manuel Lopezlage Socio de Deloitte & Touche
33
© Deloitte Touche Tohmatsu 2008. All rights reserved.